21.12.2023
Дата публикации
Введение
До недавнего времени, обеспечение многих организационных и технических мер, направленных на минимизацию рисков причинения вреда гражданам в случае утечки их персональных данных, были оставлены на усмотрение самих операторов.
11 декабря 2023 года Президентом Республики Казахстан был подписан Закон № 44-VIII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов». В законе «О персональных данных и их защите» появились новые положения, регламентирующие порядок оперативного реагирования при утечке персональных данных. С принятием настоящего закона, в законодательстве Казахстана появились требования для операторов и собственников персональных данных, а также для уполномоченного государственного органа предпринимать меры по оперативному реагированию при утечке персональных данных. Эти меры крайне необходимы для минимизации последствий вреда для граждан, а также для установления ответственности компаний, допустивших утечку персональных данных. Установлены обязательства по уведомлению уполномоченного органа для собственника и (или) оператора. Также следует отметить, что наделение полномочиями госконтроля за соблюдением законодательства о персональных данных и их защите позволит гражданам быть осведомленными об утечке своих данных.
Данный материал содержит общий анализ и результаты общественного обсуждения вышеуказанных поправок по вопросам оперативного реагирования при утечке персональных данных независимыми экспертами по цифровым правам и Управлением по защите персональных данных Комитета информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (КИБ МЦРИАП РК). Кроме этого, документ включает результаты обсуждения в рамках рабочих групп Мажилиса Парламента Казахстана и онлайн-обсуждений по вышеуказанным поправкам.
Данная работа ссылается на объективные оценки и профессиональные рекомендации экспертов Дайырбекова Руслана и Кабышева Елжана (далее: «Эксперты»), а также отражает официальную позицию общественного фонда «Евразийский Цифровой Фонд» (далее: «Eurasian Digital Foundation») по отдельным правовым нормам и процедурам закона. Кроме этого, работа содержит рекомендации Eurasian Digital Foundation по дальнейшему развитию института персональных данных в Казахстане.
Результаты общественного обсуждения поправок по вопросам оперативного реагирования при утечке персональных данных
Приняты следующие правовые процедуры и нормы:
Понятийный аппарат закона был дополнен определением «нарушения безопасности персональных данных», которое, по своей сути, является законодательной попыткой дать определение понятию утечки персональных данных, следующего содержания:
«нарушение безопасности персональных данных - нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним».
Была добавлена следующая обязанность собственника и (или) оператора:
«c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии) [Примечание: Подпункт 4 пункта 11 вводится в действие с 1 июля 2024 г.]».
Кроме этого, были добавлены новые компетенции Уполномоченного органа:
«осуществляет государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите»;
«направляет оператору информационно-коммуникационной инфраструктуры «электронного правительства» информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов, в целях, предусмотренных настоящим Законом и иными нормативными правовыми актами Республики Казахстан».
Безусловно, проведенная работа повысила качество и эффективность разработки закона и сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.
2022 год: поправки по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности
Эксперты приняли участие в нескольких рабочих встречах в качестве приглашенных экспертов в области приватности.
22 и 28 апреля 2022 года под председательством депутата мажилиса парламента Смышляевой Е. В. прошли заседания рабочей группы по проекту закона “О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности”.
В связи с тем, что на тот момент законодательно были не урегулированы вопросы оперативного реагирования при утечке персональных данных, необходимые для минимизации последствий такой утечки, а также понимая важность проведения комплексной работы в этих случаях, авторы проекта закона предложили установить для собственника и (или) оператора обязательства по уведомлению уполномоченного органа.
В рамках обсуждения проекта закона Управлением по защите персональных данных КИБ МЦРИАП было инициировано дополнение в статью 25 ЗРК “О ПДиЗ”, в следующей редакции:
“11) в течение двух рабочих дней уведомить уполномоченный орган об утечке персональных данных с указанием контактных данных лица, ответственного за организацию обработки персональных данных”.
В свою очередь, Эксперты, концептуально поддержав вышеуказанную новеллу, обратили внимание законодателей на статью 33 General Data Protection Regulation (GDPR, Общий регламент по защите данных) “Уведомление надзорного органа о нарушении безопасности персональных данных” в части необходимости закрепления требования собственника и оператора по обработке персональных данных — “задокументировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, послед- ствия и меры, принятые для исправления ситуации”.
В связи с тем, что в национальном понятийном аппарате отсутствует определение “утечки”, депутаты вернули данную норму на доработку. На последующем заседании рабочей группы, после согласования с соответствующими государственными органами, депутатам на обсуждение представили доработанную редакцию дополнения в статью 25, в которой слово “утечка” было заменено на “нарушения защиты персональных данных”, в следующей редакции:
“11) в течение двух рабочих дней уведомить уполномоченный орган о выявленных нарушениях защиты персональных данных с указанием контактных данных лица, ответственного за организацию обработки персональных данных”.
Однако Эксперты обратили внимание на пункт 11) статьи 1 Закона “О ПДиЗ” от 21 мая 2013 года, который определяет “защиту персональных данных как комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом”. Таким образом, согласно смыслу предлагаемой редакции, любое нарушение вышеуказанных мер предполагает уведомление уполномоченного органа, что является обременительной и избыточной мерой.
В этой связи, эксперты поддержали определение “утечки”, предложенное Управлением по защите персональных данных КИБ МЦРИАП, а именно:
“утечка персональных данных – нарушение безопасности персональных данных, влекущих к случайному или незаконному распространению, изменению, дополнению, использованию, обе- зличиванию, блокированию и уничтожению или доступу к персональным данным”.
В конечном итоге, соответствующие изменения по процедуре уведомления регулятора об утечке персональных данных не вошли в закон, который был принят 14 июля 2022 года.
- Онлайн-обсуждение «Утечки персональных данных: мировой и казахстанский аспекты»
Основой для обсуждения стала презентация сравнительно-правового анализа казахстанского законодательства с европейским GDPR и законодательством Грузии по вопросам утечки персональных данных, который провели эксперты проекта «Развитие института защиты персональных данных в Казахстане».
Эксперты представили часть сравнительно-правового анализа об ответственности в законодательстве Республики Казахстан в области персональных данных и сравнение с законодательством Грузии.
В Республике Казахстан предусмотрена административная и уголовная ответственности за нарушение законодательства о персональных данных и их защите. Статья 79 “Нарушение законодательства Республики Казахстан о персональных данных и их защите” Кодекса об административных правонарушений Республики Казахстан предусматривает ответственность, к которым должны привлекаться лица, нарушившие Закон Республики Казахстан “О персональных данных и их защите” от 21 мая 2013 года N 94-V.
По европейскому GDPR размеры штрафов заметно выше. Так, например, размер штрафа за нарушение пункта 4 статьи 84 GDPR (информационная безопасность, Risk assessment, Data breach notification и т.п. менее серьезные нарушения) может составлять 10 млн евро или до 2% от общего годового мирового оборота за предыдущий финансовый год, в зависимости от того, что выше. Штраф за нарушение пункта 5 данной статьи (нарушение принципов обработки, прав субъекта, трансграничной передачи и т.п. серьезные нарушения) может достигать 20 млн евро или до 4% от общего годового мирового оборота.
Также были представлены основные отличия между грузинским и казахстанским законодательными инициативами по утечкам персональным данных.
В Грузинской законодательной инициативе планировалось:
1. Уведомление регулятора в течение 72 часов;
2. Уведомление регулятору должно содержать:
- обстоятельства, вид и время происшествия;
- категории и объем персональных данных, количество субъектов персональных данных;
- предполагаемый ущерб, предпринятые меры;
- план по уведомлению субъектов;
- контактные данные.
3. Уведомление субъектов персональных данных
2023 год: поправки по вопросам информационной безопасности, информатизации и цифровых активов
- Онлайн-обсуждение регуляторного инструмента
5 января 2023 года Эксперты приняли участие в онлайн-обсуждении анализа регуляторного воздействия процедуры уведомления уполномоченного органа об утечке персональных данных граждан.
В мероприятии приняли участие более 60 представителей разных заинтересованных сторон под председательством руководителя Управления по защите персональных данных Комитета информационной безопасности МЦРИАП РК Кабдеш Адилетхана. Среди участников онлайн-обсуждения были представители НПП Атамекен, банковских и финансовых организаций, неправительственных организаций и экспертов.
Кабдеш Адилетхан проинформировал участников, что проект заключения Правительства по законопроекту согласован со всеми заинтересованными государственными органами и в настоящее время находится на рассмотрении Администрации Президента. Кроме этого, руководитель Управления отметил, что данная мера (уведомление по утечке данных) послужит эффективной мерой для сдерживания роста неправомерного поведения собственников и (или) операторов баз, содержащих персональные данные, а также для принятия мер по защите персональных данных, так как анализ правоприменительной практики в РК, подтверждающий наличие соответствующих проблем, свидетельствует о неэффективной действующей модели правового регулирования в данной сфере.
Руслан Дайырбеков концептуально поддержал инициативу законодательного закрепления процедуры уведомления уполномоченного органа в случае утечки персональных данных со стороны оператора и обратил внимание законодателей на статью 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных «документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».
Участники онлайн-обсуждения высказали опасения относительно предложенной редакции определения «нарушение безопасности персональных данных», так как существуют риски для субъектов бизнеса, связанные с широким определением этого понятия — операторы персональных данных, осуществляющие их сбор и обработку, могут быть привлечены к ответственности за утечку персональных данных, к которой они не имеют никакого отношения.
Елжан Кабышев привел в пример определение данного понятия в GDRP:
(12) «Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним».
Отдельные руководства GDPR более подробно описывают случаи, при которых оператор персональных данных должен уведомить о нарушении безопасности персональных данных, как например: Guidelines on Personal data breach notification under Regulation 2016/679. Однако, к сожалению, учитывая особенности казахстанского законодательства о персональных данных и их защите, предложенное расширенное толкование может негативно повлиять на деятельность бизнеса.
Уведомление – это важная процедура, обеспечивающая возможность хотя бы минимизировать последствия нарушения законодательства, должным образом уведомить субъектов персональных данных об утечке, а также привить операторам ответственность за бережное обращение с персональными данными и безопасность их хранения.
Уведомление субъектов персональных данных о нарушении безопасности персональных данных
На сегодняшний день в стране установлены случаи утечки базы данных многих собственников и операторов, осуществляющих сбор и обработку персональных данных, таких как ЦИК, Яндекс.Еда, Казпочта, компания “Спортмастер” и т.д.
В связи с накоплением огромного количества данных, в том числе персональных данных, у собственников и (или) операторов возникают риски их утечки по каким-либо обстоятельствам (нарушение со стороны непризнанных лиц, человеческий фактор и т.д.).
Последствия утечки могут быть очень серьезными и незначительными. Однако следует понимать, что утечка персональных данных, прежде всего, наносит прямой ущерб субъекту этих данных.
Вышеуказанным проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности» предусматривается дополнить статью 13 Закона Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК «Об информатизации» подпунктом 13-1) следующего содержания:
«На основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства».
Оператор информационно-коммуникационной инфраструктуры «электронного правительства» – Акционерное общество «Национальные информационные технологии» – будет уполномочен уведомлять субъекты об утечках их персональных данных. Таким образом, будет усилена защита персональных данных и определены новые механизмы взаимодействия при обеспечении информационной безопасности объектов информатизации государственных органов.
• Наделение полномочиями госконтроля за соблюдением законодательства о персональных данных и их защите
В связи с тем, что до сегодняшнего дня у уполномоченного органа по защите персональных данных отсутствовала возможность инициировать проверку на предмет законности сбора и обработки персональных данных, депутатом Смышляевой Е.В. была инициирована поправка, наделяющая МЦРИАП РК полномочием по осуществлению государственного контроля за соблюдением законодательства РК о персональных данных и их защите в соответствии с Предпринимательским кодексом РК.
КИБ МЦРИАП РК вправе принимать меры исключительно при обращениях и жалобах и по уже совершившимся правонарушениям: когда персональные данные незаконно попали третьим лицам, распространены неопределенному кругу лиц и т.д.
Вместе с тем ранее органы прокуратуры привлекали правонарушителей к ответственности в соответствии со статьей 79 КоАП РК при нарушении законодательства РК о персональных данных и их защите, а также до настоящего времени осуществляют надзор в этой сфере.
При этом для органов прокуратуры не требуется наличие в Предпринимательском кодексе РК функции государственного контроля для проведения внеплановых проверок, в свою очередь такая функция государственного контроля необходима для уполномоченного органа (КИБ МЦРИАП).
Данная мера необходима для недопущения незаконного сбора персональных данных граждан, их использования в незаявленных и коммерческих целях, а также пресечения нарушений, предусмотренных законодательством об информатизации, о персональных данных и их защите.
Благодаря законопроекту, по словам министра цифрового развития, инноваций и аэрокосмической промышленности Багдата Мусина:
«появится возможность для проведения комплексного анализа курируемых отраслей, актуализации данных в государственных базах, принятия обоснованных и эффективных управленческих решений в режиме онлайн. Одновременно для обеспечения защиты персональных данных будут ужесточаться требования к применению информационно-коммуникационных технологий. Для этого законопроектом предлагается признать информационные системы, осуществляющие сбор, обработку и хранение персональных данных, критически важными объектами информационно-коммуникационной инфраструктуры и повысить требования к их защищенности».
Автор данного дополнения, Смышляева Е.В, в сравнительной таблице обосновала необходимость поправки тем фактом, что до определения уполномоченного органа в сфере защиты персональных данных органами прокуратуры по статье 79 КоАП РК с 2016 по 2018 годы рассмотрено 0 административных дел и в 2019 году рассмотрено 3 административных дела. Наряду с этим, с момента определения (июнь 2020 года) МЦРИАП уполномоченным органом в сфере защиты персональных данных по настоящее время рассмотрено более 210 жалоб субъектов персональных данных, то есть граждан (публикация персональных данных общедоступными интернет-ресурсами, такими как adata.kz, fa-fa.kz, kompra.kz; незаконное распространение персональных данных в различных группах мессенджеров и социальных сетей; использование персональных данных без согласия их субъектов и несовместимых их целям сбора и т.д.), 157 из которых удовлетворены.
Однако в связи с наличием противоречий в законодательстве и отсутствием функции государственного контроля в сфере защиты персональных данных более 50 жалоб остались без удовлетворения.
Рекомендации по дальнейшему совершенствованию законодательства о персональных данных
Несмотря на вышеуказанные позитивные изменения в законодательстве по вопросам оперативного реагирования при утечке персональных данных, для добросовестного и эффективного использования цифровых технологий общество должно располагать современными и эффективными правовыми инструментами независимого контроля за соблюдением права человека на неприкосновенность личной жизни и конфиденциальность персональных данных государством и бизнесом.
Внедрить правовой механизм оценки рисков при обработке персональных данных Data Protection Impact Assessment (DPIA)
Развитие цифровой экономики, даже при всех ее благих целях, не должна иметь следствием отказ от защиты прав и свобод человека. Любая проводимая в настоящее время и предлагаемая бизнес практика должна предусматривать проведение оценок ее последствий для неприкосновенности частной жизни, с тем, чтобы была возможность для рассмотрения и представления информации о том, каким образом политика и технологии обеспечивают смягчение рисков для неприкосновенности частной жизни. По аналогии с европейским правом о защите персональных данных, отечественным законодателям следует рассмотреть возможность внедрения правового механизма оценки рисков Data Protection Impact Assessment (DPIA) Генерального регламента по защите персональных данных GDPR (General Data Protection Regulation). Следует отметить, что процедура оценки рисков DPIA используется не всегда, а только в случаях когда обработка данных сопряжена с высоким риском нарушения прав и законных интересов граждан.
Предусмотреть обязанность собственников и (или) операторов об уведомлении субъектов персональных данных, чьи данные были незаконно распространены.
Закрепить обязанность собственника и оператора по обработке персональных данных задокументировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации.
Статья 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных гласит, что необходимо «задокументировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».
В соответствии с вышеуказанной статьей GDPR, уведомление уполномоченного органа должно по меньшей мере:
- описывать характер нарушения безопасности персональных данных, в том числе, по возможности, указывать категории и приблизительное количество пострадавших субъектов данных, а также категории и приблизительное количество затронутых записей персональных данных;
- содержать имя и контактные данные инспектора по защите персональных данных или другого контактного лица, от которого можно получить более подробную информацию;
- описывать возможные последствия нарушения безопасности персональных данных;
- описывать меры, предпринятые или предлагаемые контролёром, для устранения нарушения безопасности персональных данных, в том числе, если уместно, меры, направленные на минимизацию её возможных негативных последствий.
«Субъект персональных данных – это лицо, которое можно прямо или косвенно идентифицировать, на основании сведения или совокупности сведений содержащие фамилию, имя и отчество (при наличии) и (или) индивидуальный идентификационный номер и (или) изображение лица субъекта персональных данных и (или) один или более факторов, специфических для биологических, физических, биометрических, физиологических, ментальных, экономических, культурных или социальных аспектов личности этого физического лица»;
В целях конкретизации применения норм законодательства Республики Казахстан о персональных данных и их защите, а также исключения ошибок в правоприменительной практике предлагаем понятие субъекта персональных данных изложить в новой редакции.
По аналогии с:
AIFC Data Protection Regulations (AIFC Regulations No.10 of 2017, далее – «DPR»), определяемым физическим лицом является физическое лицо, которое может быть определено, прямо или косвенно, в частности, путем отсылки к идентификационному номеру или одному или более факторам, специфическим для биологических, физических, биометрических, физиологических, ментальных, экономических, культурных или социальных аспектов личности.
Статью 4 GDPR. Определения: 1) «Персональные данные» — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо — это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
Заключение
Действительно, обеспечение реальных возможностей для проведения независимой общественной экспертизы проектов нормативных правовых актов, разработанных органами исполнительной власти, является важным условием обеспечения качества правового регулирования.
Учет разработчиком высказываемых представителями гражданского общества мнений и предложений при принятии законодательных решений должен укрепить доверие и поддержку обществом деятельности уполномоченного органа по защите персональных данных.
Выражаем свою признательность за то, как Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан и депутаты Мажилиса Парламента Республики Казахстан в рамках общественного обсуждения проекта закона, учитывали в своей нормотворческой деятельности объективные оценки и профессиональные рекомендации независимых экспертов Eurasian Digital Foundation.
Прочитать и сохранить себе данный отчет в удобном PDF формате можно тут: https://drive.google.com/file/d/1nNF0sL3cX8qAJC0q6xEblH0-3ZQYCxvH/view?usp=sharing
